安势信息受邀参加 COSCon'25 第十届中国开源年会｜「4D 开源组件评估模型 + 清源 SCA」，精准锁定权威组件，守护软件供应链！

图 1 来源开源社

COSCon'25 第十届中国开源年会于 2025 年 12 月 7 日圆满收官！作为中国开源领域极具行业影响力的年度盛会，本届年会恰逢 COSCon 十周年里程碑节点 ，既是对过往十年中国开源生态从萌芽到蓬勃的沉淀与致敬，更是凝聚全球开源力量、共探产业未来的全新起点！

此次盛会，安势信息创始人 &CEO 薛植元先生以及联合创始人 &SVP 高琨先生受邀就对开源安全领域最新洞察和行业研究分别在 OpenChain 论坛和汽车智能化开源创新论坛进行了精彩的分享。

图 2 来源开源社：安势信息 创始人 &CEO 薛植元先生在 OpenChain 论坛分享

图 3 来源开源：安势信息 联合创始人 &SVP 高琨先生在汽车智能化开源创新论坛分享

在 GitHub 仓库数量突破 8 亿的今天，我们正面临前所未有的“开源迷雾”。

图 4：GitHub 仓库数量增长趋势

当你面对成千上万个名为 pytorch 或 react 时，你如何判断哪一个是“正版”，哪一个是无人维护的 Fork？ 当你看到一个项目拥有 5 万 Stars，你是否会默认它代码质量高、维护稳定？

安势信息创始人 &CEO 薛植元先生分享了一项颠覆性的研究成果——《基于总人力投入程度的开源组件权威度量》，揭开了开源繁荣背后的真实“工程图谱”。

图 5：GitHub 仓库数量增长趋势

❌ 误区：Star 数=代码质量？

长期以来，“Star 数”和“下载量”是开发者评估开源项目的核心指标。但薛植元指出，这些指标正变得越来越失真：

• Star 本质是“关注度”它更多反映了项目的营销能力和社会热度，而非工程成熟度。

• 长尾效应与噪音： 在 8 亿仓库中，55%已经“死亡”，大量仓库只是核心项目的简单镜像或分叉。

如果我们只盯着 Star 数，很容易陷入“高热度=高质量”的陷阱。

✅ 破局：回归第一性原理——总人力投入

软件是由人写出来的。衡量一个开源项目是否权威、是否可持续，最诚实的指标是：有多少人、花了多少精力、在多么深入地贡献代码？

一、4D 开源组件评估模型

安势信息独创了 4D 开源组件评估模型，通过算法量化了四个维度：

图 6：4D 开源组件评估模型图示

1、维度一：参与规模/ Contribution Breadt

是几个人在维护，还是由于社区在推动？

围绕组件发生的多类型人力贡献数量，如 Issue、Commit、PR、Review、Discussion 等事件的总量，是最直观的“人力涌入度”指标，反映有多少不同的人力动作在推动项目向前。

它描述了开源组件的人力基础盘，而非简单的关注度，从源头捕捉真实的工程投入。

2、维度二：参与深度/Human Contribution Depth

贡献者是提交完就跑，还是持续修复、Code Review？

衡量贡献者在各类事件中的投入强度，比如，同一贡献者对同一事件类型的多轮跟进。它衡量“贡献是否真正深入”，将浅尝即止与深度投入清晰区分。

深度贡献往往意味着“真实劳动量”“复杂度承担”和“责任感”，是工程成熟度的重要信号。

3、维度三：参与多样性/Human Contribution Diversity

 社区结构是否健康？避免“单点故障”。

衡量贡献者群体的人力结构是否健康，而不是依赖个别核心维护者撑起整个项目。避免出现：“一个核心维护者+一群沉默围观者”的畸形结构；少数人承担绝大部分人力劳动而导致项目脆弱。

一个参与者多、分布均衡的社区意味着：更强的外部人力吸附力；更稳定的维护能力；更高的可持续性。人力来源越广，项目越不易崩溃。

4、维度四：关键工程行为强度/Key Engineering Intensity

 识别真正的高价值贡献者。

衡量每位贡献者对该组件的人力投入“专注度”或“稀有度”。例如：贡献者若参与过 1 万个仓库，则在某仓库的一次贡献价值相对较低。反之，高专注型贡献者的活动反映更强的人力密度与工程承诺。

该维度识别“高价值人力”——那些对项目具有关键推动作用的贡献者。它反映的不是数量，而是贡献的人力质量与稀缺度。

二、数据对比结果：VSCode vs DeepSeek

基于这套模型，我们对 GitHub 全量（2.3 亿个开源组件，已过滤 1.5 亿明确 Fork 项）数据进行了跑分，结果令人惊讶的是：

DeepSeek-R1：Star 数排名 Top100，但总人力贡献分却并不高。

安势解读：但这并不能否认 DeepSeek 的伟大，从软件工程角度看，该仓库更多是“模型权重下载页”和“说明书”，而非成千上万开发者共同协作的工程项目。

VSCode (Microsoft)：总人力贡献排名第 1，Star 数排名第 25。

安势解读：这才是真正的“工程巨兽”。极高的协作强度、长期的人力投入，使其成为开源界当之无愧的基石。

图 7：TOP-100 个 stars 数值降序排名与该组件总人力贡献分数对比

结论很残酷也很真实：Stars Top 100 的名单，与总人力投入 Top 100 的名单，重合度极低。 真正的“权威组件”，往往是那些默默吞噬了海量工程师工时、持续迭代的基础设施。

图 8：千分之一 stars 与千分之一人力贡献重叠度分析

三、识别出了“权威组件”，我们能做什么？

落地：清源 SCA——用算法守护软件供应链

安势信息将这套算法应用于软件成分分析（SCA）领域，致力于解决 SCA 最大的痛点：误报多、噪音大、修复难。

通过将依赖项归并至“权威上游”，我们能精准剔除 Fork 版本干扰，帮助企业精准定位实际使用的组件。为了让更多开发者受益，我们正式推出了：

清源 SCA 开源版 (CleanSource SCA Community Edition)（https://github.com/sectrend-cn/build-scan） 。

这是一款面向个人开发者和中小团队的免费轻量化工具，它不仅集成了安势企业级的核心算法能力，更带来了：

1、核心功能

包括多模态用户管理、全流程任务管理。在全流程任务管理方面，支持 Web 端上传/拉取仓库，CLI 工具还支持二次开发。同时具备智能结果分析及 Excel 导出功能，依托先进算法与企业级标准，可转化隐性风险、简化修复、辅助合规。

2、独家漏洞披露

CSSA 独家漏洞披露是清源 SCA 社区版的一大特色，能早于官方漏洞披露数十天获悉软件中的相关风险并预警风险，使相关人员可以提前采取措施，有效降低软件因漏洞带来的安全隐患。

3、分级风险展示

按漏洞等级、可达性等将风险分为四级，强烈建议修复至无风险。组件列表按风险分类，还支持多维度筛选，方便用户清晰了解不同风险等级的组件情况，从而有针对性地进行处理。

4、深度修复指引

对于 EOL 组件，工具建议替换；遇到强互惠型许可证会提示法律风险并建议更换；对于漏洞，会提供升级版本及详情，包括 CVE 等信息，甚至可达漏洞定位代码行，帮助用户更精准地修复问题。

5、权威去重

依托权威组件库，告别海量误报，只关注真正重要的风险。

关于安势信息

上海安势信息技术有限公司是国内先进的软件供应链安全治理解决方案提供商，核心团队来自 Synopsys、华为、阿里巴巴、腾讯、中兴等国内外企业。安势信息始终坚持 DevSecOps 的理念和实践，以 AI、多维探测和底层引擎开发等技术为核心，提供包括清源 CleanSource SCA（软件成分分析）、清源 SCA 社区版、清正 CleanBinary (二进制代码扫描)、清流 PureStream（AI 风险治理平台）、清本 CleanCode SAST（企业级白盒静态代码扫描）、可信开源软件服务平台、开源治理服务等产品和解决方案，覆盖央企、高科技、互联网、ICT、汽车、高端制造、半导体 &软件、金融等多元化场景的软件供应链安全治理最佳实践。

欢迎访问安势信息官网https://www.sectrend.com.cn 或发送邮件至 info@sectrend.com.cn 垂询。